IT ExpertМир технологийНаука и техника

Двухфакторная аутентификация: потому что лень – двигатель прогресса

Андрей Виноградов | 21.05.2018

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Двухфакторная аутентификация: потому что лень – двигатель прогресса

Можно ли повысить уровень информационной безопасности в компании, сократив при этом издержки? Сергей Кузнецов, руководитель отдела технического сопровождения продуктов и сервисов ESET Russia, считает, что можно. Как? Об этом и поговорим.

Откуда ноги растут? Зачем понадобилось создавать такую систему?

Как обычно, лень – двигатель прогресса. Во-первых, любая компания старается обеспечить минимальный уровень безопасности, требуя от сотрудников создавать сложные пароли – с большим числом символов, буквами разного регистра, специальными знаками и цифрами. Но сложные пароли никто не любит. А если их много, их не любят еще больше. Сотрудникам деваться особо некуда, они придумывают сложный пароль, но используют его везде – для входа в корпоративную и личную почту, соцсети, интернет-банк, CRM и пр. Во-вторых, даже самый сложный пароль используется как минимум пару месяцев, а за это время потенциальный злоумышленники имеет все шансы его узнать – ведь сотрудники склонны записывать пароли на стикерах и клеить их на монитор или под клавиатуру. Серьезно, мы проводили опрос российских пользователей, и 16% признались, что хранят пароли в блокнотах, черновиках и стикерах, а еще 10% – в текстовых файлах на ПК. Еще один фактор риска – сотрудники заходят на корпоративные ресурсы, используя общедоступные открытые Wi-Fi сети, где риск перехвата пароля неиллюзорен. То есть компания в теории позаботилась о достойном уровне безопасности, но жизненный цикл сложного пароля и условия его хранения не позволяют поддерживать этот уровень на практике. Отсюда и возникла потребность в системах двухфакторной аутентификации.

В чем их главная фишка?

Такие системы исключают риск взлома корпоративных ресурсов путем подбора или кражи пароля, поскольку теперь постоянного пароля недостаточно. Необходим еще и одноразовый пароль – уникальный для каждого пользователя и входа, который генерируется в специальном приложении или высылается в SMS.

Как ESET Secure Authentication может помочь сотрудникам, работающим на удаленке?

Установка ESET Secure Authentication на VPN/OWA или другие сервисы компании, видимые извне, повысит уровень безопасности этих ресурсов и обеспечит надежную идентификацию пользователей. А вот удаленным сотрудникам ESA вряд ли поможет. Если только позволит убедить системного администратора в отсутствии необходимости придумывать суперсложные пароли каждые два месяца.

Нынче смартфоны подвергаются воздействию жуликов, может быть, даже чаще, чем ПК. Почему вы уверены, что такая система и в будущем останется эффективной?

Вопрос не в надежности смартфона – речь идет об удобстве использования и бюджете компании. Вы можете выдать сотруднику USB-токен, но это дополнительные затраты. Токены надо сначала купить, а потом регулярно восстанавливать, поскольку сотрудники их теряют, забывают, ломают. А смартфон сейчас есть у многих. Подойдет и простейший мобильник с функцией приема SMS. То есть компания сокращает издержки, оставаясь при этом в безопасности.

img

Если взглянуть на ситуацию в ИТ, прослеживается тенденция к тому, что у пользователей в будущем будут лишь «тонкие клиенты» разного вида, будь то телефон, ПК или телевизор, а все данные будут по подписке. Как вы считаете, насколько реален подобный сценарий? Хорошо или плохо, когда все «данные-яйца» в одной корзине?

Это скорее позитивная ситуация. Если вся ценная информация хранится на ресурсах компании, единственный способ получить к ней доступ – проникнуть в периметр. Если защита периметра построена правильно, единственный путь проникновения – VPN. Это хорошо защищенная и контролируемая система, а с ESET Secure Authentication или любым другим средством двухфакторной аутентификации еще более защищенная. Бизнес-модель с данными по подписке не представляется реальной. Может быть подписка на софт (SaaS) или инфраструктуру (IaaS) – эти варианты скорее подходят для небольших компаний или динамично развивающихся стартапов, которые пока не готовы вкладываться в покупку лицензий и оборудования или строить собственную виртуальную инфраструктуру, им проще арендовать все это у провайдеров.

img

По сути, как я понимаю, ESET Secure Authentication – это нечто вроде банковской 3D-Secure, только для других задач. В чем новизна вашего решения?

В то время, когда ESET Secure Authentication разработали и выпустили на рынок, почти все системы двухфакторной аутентификации работали с физическими токенами. Наше решение было и остается исключительно программным, хотя и позволяет использовать физические токены сторонних производителей. Кроме того, ESA имеет широчайшие возможности по внедрению – перечень продуктов, с которыми она работает «из коробки», огромен, есть API и SDK для интеграции в любую систему. Например, с помощью API нашу ESA можно легко интегрировать в «1С» и не заставлять бухгалтера придумывать и запоминать сложный пароль для доступа к этой системе. Сейчас и другие производители выпускают похожие решения – исключительно программные продукты.

Можно ли внедрить ESET Secure Authentication в существующую инфраструктуру или потребуется приобрести какое-то оборудование?

Как я уже говорил, ESET Secure Authentication не требует никакого дополнительного оборудования и внедряется в существующую инфраструктуру без серьезных затрат времени. Установка и базовая настройка ESA занимают не более 10 минут.

Роботы в том или ином виде берут на себя все больше задач, лишая тем самым нас работы. Если пофантазировать, каким вы видите будущее? Не приведет ли роботизация к социальным проблемам?

Вопрос, конечно, интересный. В моем понимании машины всегда будут помощниками в каких-то типовых задачах, но не смогут полноценно заменить человека. Пока что машина не может творить, только очень точно копировать. Поэтому механическая работа со временем, конечно, будет переходить к роботам. Пока они дороги с точки зрения начальных инвестиций, но в долгосрочной перспективе обходятся дешевле, чем сотрудники-люди. Никого же не смущает замена регулировщиков светофорами или справочного бюро поисковиками. При этом люди продолжают работать, совершают открытия в науке, успешны в искусстве. Когда-нибудь роботы станут «почти людьми», но, повторяю, вряд ли смогут создавать что-то новое.

Ключевые слова: программное обеспечение компьютера

Журнал IT-Expert № 05/2018    [ PDF ]    [ Подписка на журнал ]

Компания: Eset

Об авторах

Андрей Виноградов

Андрей Виноградов

Главный редактор журнала IT Expert. С 10 лет занимается фотографией, член жюри национальной премии «Продукт года». Любит путешествовать, бывать не только в излюбленных туристами районах, но и видеть жизнь обычных людей, впитывать дух этих мест.

Мероприятия

23.09.2018 — 25.09.2018
XII Конгресс "Подмосковные вечера"

Москва, Атлас Парк Отель. Домодедово, Судаково, 92,

26.09.2018
Loginom Day 2018: продвинутая аналитика, легкая в приготовлении

Москва, event-холл «Инфопространство»

02.10.2018 — 03.10.2018
Открытая конференция для бизнеса и ИТ «ACCELERATE»

Москва, Краснопресненская набережная, 14 Экспоцентр

02.10.2018
Практики построения современного трейдинга

Москва, Арарат Парк Хаятт, зал Саргсян

04.10.2018 — 05.10.2018
БИТ Санкт-Петербург 2018

Санкт-Петербург, проспект Медиков, дом 3, Конгресс-центр «ЛПМ»